如何创建 Microsoft 365 组

---

您可以在 Microsoft 365 门户中创建不同的 Microsoft 365 组类型。在 Microsoft Entra 管理中心和 MS Graph PowerShell 中，只能创建以下两个组：安全组和 Microsoft 365。在本文中，您将了解如何使用 Microsoft Graph PowerShell 创建 Microsoft 365 组。

Microsoft 365 组类型

在 Microsoft 365 中，您的组织中有多种需要创建和管理的组类型。最推荐的类型是 Microsoft 356 组。

下表显示了 Microsoft 365 中的不同组类型：

Group typesGroup descriptionMail-enabledMicrosoft Graph PowerShellMicrosoft 365 groupAllows (internal and external) users to collaborate as a team by giving them a group email and a shared workspace for files, calendars, and notes.✓✓Distribution listCreates an email address for a group of people to send email notifications.✓☓Dynamic distribution listSends mass email messages to all members of a group list within an organization.✓☓Security groupGrants access to resources such as SharePoint sites.☓✓Mail-enabled security groupSends messages to all group members and grants access to resources like OneDrive, SharePoint, and admin roles.✓☓

如果要创建所有组，最好在 Microsoft 365 管理中心、Exchange 管理中心或 Exchange Online PowerShell 中创建它们。这是因为您可以选择所有组类型。

在 Microsoft Entra 管理中心和 Microsoft Graph PowerShell 中，您只能创建以下类型的组，这就是我们将重点关注的内容：

• Microsoft 365 组
• Microsoft 365 组（动态成员资格）
• 保安组
• 安全组（动态成员资格）

连接到 Microsoft Graph PowerShell

在开始之前，您必须安装 Microsoft Graph PowerShell 模块。以管理员身份启动 Windows PowerShell 并运行以下命令。

Install-Module Microsoft.Graph -Force

重要提示：在运行 cmdlet 或脚本之前，请务必安装最新的 Microsoft Graph PowerShell 模块版本，以防止出现错误和不正确的结果。

使用以下范围运行 Connect-MgGraph cmdlet 以通过 Microsoft Graph 进行身份验证。

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "GroupMember.ReadWrite.All", "Directory.ReadWrite.All"

现在一切就绪，您可以通过 MS Graph PowerShell 使用命令。

使用 PowerShell 创建安全组

要使用 PowerShell 创建新的安全组，您将使用具有最少所需属性的 New-MgGroup cmdlet：

• -显示名称
• -MailEnabled ($false)
• -MailNickName（指定时不带任何空格）
• -安全启用 ($true)

运行以下 PowerShell 命令来创建新的安全组。

New-MgGroup -DisplayName "Security Group" -MailEnabled:$false -MailNickName "SecurityGroup" -SecurityEnabled

PowerShell 结果显示了该组的规范。

DisplayName    Id                                   MailNickname  Description GroupTypes
-----------    --                                   ------------  ----------- ----------
Security Group a5377de2-3463-4aa4-bcdf-f066044409e4 SecurityGroup                 {}

您还可以通过不同的方式创建安全组。最好使用包含指定参数的哈希表作为括在大括号 { } 中的数组。要使用哈希表创建组，我们将使用-BodyParameter。

在我们的示例中，哈希表是使用创建安全组的实际值定义的。

运行以下 PowerShell 命令来创建安全组。

$ParamsGroup = @{
    DisplayName = "Security Group"
    MailEnabled = $false
    MailNickname = "SecGroup"
    SecurityEnabled = $true
}

New-MgGroup -BodyParameter $ParamsGroup

PowerShell 输出显示以下结果。

DisplayName    Id                                   MailNickname  Description GroupTypes
-----------     --                                   ------------ ----------- ----------
Security Group 77efba4d-fca6-4a86-b585-a181ad5d7838 SecGroup                      {}

您创建了一个安全组，因此现在您可以添加所有者并向该组添加成员。

使用 PowerShell 创建动态安全组

您还可以创建动态安全组，它与安全组相同，但具有动态成员资格。您需要创建一个包含一组用户的规则，以将他们添加为成员。

这意味着您无法手动添加或删除组成员。组成员是根据规则指定的，因此只要在规则中添加或删除用户，组就会自动更改。

要指定动态安全组，您必须使用比安全组多三个参数：

1. -GroupTypes 参数及其值 DynamicMemberShip 用于确认它是动态安全组。
2. -MembershipRule 参数，您必须在其中指定规则语法中的成员。在我们的示例中，我们将添加销售部门的所有用户，因此我们需要使用语法(user.department -eq“sales”)。
3. 值为 On 的 -MembershipRuleProcessingState 参数。

注意：单个会员规则的总长度不能超过 3071 个字符

要创建动态安全组，您需要最少的必需属性：

• -显示名称
• -MailEnabled ($false)
• -MailNickName（指定时不带任何空格）
• -安全启用 ($true)
• -GroupTypes（动态成员资格）
• -MembershipRule（使用规则指定用户）
• -MembershipRuleProcessingState（打开）

运行以下 PowerShell 命令来创建动态安全组。

New-MgGroup -DisplayName "Dynamic Security Group" -MailEnabled:$false -MailNickName "DynamicSec" -SecurityEnabled:$true -GroupTypes "DynamicMembership" -MembershipRule "(user.department -eq ""sales"")" -MembershipRuleProcessingState On

PowerShell 输出显示结果。

DisplayName            Id                                   MailNickname    Description GroupTypes
-----------            --                                   ------------    ----------- ----------
Dynamic Security Group 50438c83-9ecb-45a2-8d58-fa9199c87c61 DynamicSecurity             {DynamicMembership}

您创建了一个动态安全组，其中包括来自销售部门的成员。

要创建相同的动态安全组，您还可以使用哈希表。它包含指定的参数作为用大括号 { } 括起来的数组。要使用哈希表创建组，我们将使用-BodyParameter。

$ParamsGroup = @{
    DisplayName                   = "Dynamic Security Group"
    MailEnabled                   = $false
    MailNickName                  = "DynamicSec"
    SecurityEnabled               = $true
    GroupTypes                    = @("DynamicMembership")
    MembershipRule                = 'user.department -eq "sales"'
    MembershipRuleProcessingState = "On"
}

New-MgGroup -BodyParameter $ParamsGroup

PowerShell 输出显示具有动态成员资格的安全组。

DisplayName            Id                                   MailNickname Description GroupTypes
-----------            --                                   ------------ ----------- ----------
Dynamic Security Group 02dd9b36-d52d-48b4-9f9c-2545dcdef3ba DynamicSec               {DynamicMembership}

检查 Microsoft Entra ID 中的动态安全组

在Microsoft Entra管理中心中，您可以看到新创建的组的动态成员资格规则。

要检查 Microsoft Entra ID 中的动态安全组，请按照下列步骤操作：

1. 登录 Microsoft Entra 管理中心
2. 展开身份>组>所有组
3. 单击新创建的动态安全组
4. 点击动态会员规则

下面的屏幕截图显示了您创建的用于为组选择这些成员的规则语法。

1. 点击成员

下面的屏幕截图显示了添加到该组的销售部门的所有直接成员。

使用 PowerShell 创建 Microsoft 365 组

要使用 PowerShell 创建新的 Microsoft 365 组，您将使用具有最少必需属性的 New-MgGroup cmdlet：

• -显示名称
• -GroupTypes @(“统一”)
• -MailEnabled ($true)
• -MailNickName（用一个单词指定，不带空格）
• -安全启用 ($true)

运行以下 PowerShell 命令。

New-MgGroup -DisplayName "M365 Group" -GroupTypes @("Unified") -MailEnabled:$true -MailNickName "M365Group" -SecurityEnabled:$true

PowerShell 结果显示创建的组。

DisplayName Id                                   MailNickname Description GroupTypes
----------- --                                   ------------ ----------- ----------
M365 Group  49ee36a8-4775-48f4-b540-e8459b3ba2a7 M365Group                {Unified}

您还可以使用哈希表创建 Microsoft 365 组，该哈希表包含指定参数作为括在大括号 { } 中的数组。要使用哈希表创建组，我们将使用-BodyParameter。

在我们的示例中，哈希表是使用创建 Microsoft 365 组的实际值定义的。

运行以下 PowerShell 命令来创建 Microsoft 365 组。

$ParamsGroup = @{
    DisplayName     = "M365 Group"
    GroupTypes      = @("Unified")
    MailEnabled     = $true
    MailNickname    = "M365"
    SecurityEnabled = $true
}

New-MgGroup -BodyParameter $ParamsGroup

PowerShell 输出结果。

DisplayName Id                                   MailNickname Description GroupTypes
----------- --                                   ------------ ----------- ----------
M365 Group  223a295c-2988-46df-b996-1289b6aa86a0 M365                     {Unified}

它会自动为 Microsoft 365 组创建一封电子邮件，您可以在 Microsoft Entra ID 中找到该电子邮件。下一步是添加所有者并将成员添加到组中。

使用 PowerShell 创建动态 Microsoft 365 组

您还可以创建动态 Microsoft 365 组，该组与 Microsoft 365 组相同，但具有动态成员身份。您需要创建一个包含一组用户的规则，以将他们添加为成员。

这意味着您无法手动添加或删除组成员。组成员是根据规则指定的，因此只要在规则中添加或删除用户，组就会自动更改。

要指定动态 Microsoft 365 组，您必须使用比 Microsoft 365 组多三个参数：

1. -GroupTypes 参数及其值 @(“Unified”, DynamicMembership) 用于确认其是动态 Microsoft 365 组。
2. -MembershipRule 参数，您需要在规则语法中指定成员。在我们的示例中，我们将添加营销部门的所有用户，因此我们需要使用语法(user.department -eq“marketing”)。
3. 值为 On 的 -MembershipRuleProcessingState 参数。

运行以下 PowerShell 命令以创建具有动态成员资格的 Microsoft 365 组。

New-MgGroup -DisplayName "M365 Dynamic Group" -MailEnabled:$true -MailNickName "M365Dynamic" -SecurityEnabled:$true -GroupTypes "DynamicMembership", "Unified" -MembershipRule "(user.department -eq ""marketing"")" -MembershipRuleProcessingState On

PowerShell 输出显示该组的结果。

DisplayName         Id                                   MailNickname Description GroupTypes
-----------         --                                   ------------ ----------- ----------
M365 Dynamic Group  fcd0af69-cba7-42b5-bd9f-111610707b62 M365Dynamic              {DynamicMembership, Unified}

您创建了一个动态 Microsoft 365 组，其中包括来自销售部门的成员。

要创建相同的动态 Microsoft 365 组，您还可以使用哈希表。它包含指定的参数作为用大括号 { } 括起来的数组。要使用哈希表创建组，我们将使用-BodyParameter。

$ParamsGroup = @{
    DisplayName                   = "M365 Dynamic Group"
    MailEnabled                   = $true
    MailNickName                  = "M365Dyn"
    SecurityEnabled               = $true
    GroupTypes                    = @("Unified", "DynamicMembership")
    MembershipRule                = 'user.department -eq "marketing"'
    MembershipRuleProcessingState = "On"
}

New-MgGroup -BodyParameter $ParamsGroup

PowerShell 输出显示新组。

DisplayName        Id                                   MailNickname Description GroupTypes
-----------        --                                   ------------ ----------- ----------
M365 Dynamic Group c2bf6af7-a49c-475a-8218-cc134aa3bb75 M365Dyn                  {Unified, DynamicMembership}

检查 Microsoft Entra ID 中的动态 Microsoft 365 组

在Microsoft Entra管理中心中，您可以看到新创建的组的动态成员资格规则。

若要检查 Microsoft Entra ID 中的动态 Microsoft 365 组，请按照以下步骤操作：

1. 登录 Microsoft Entra 管理中心
2. 展开身份>组>所有组
3. 单击新创建的动态 Microsoft 365 组
4. 点击动态会员规则

下面的屏幕截图显示了您创建的用于为组选择这些成员的规则语法。

1. 点击成员

下面的屏幕截图显示了添加到该组的所有营销部门的直接成员。

就是这样！

了解更多：如何将通讯组列表转换为安全组 »

结论

您了解了如何使用 Microsoft Graph PowerShell 创建 Microsoft 365 组。您可以在不同的组类型中添加成员或添加动态成员资格。请记住，只能使用 New-MgGroup PowerShell cmdlet 创建安全组或 Microsoft 365 组。

您喜欢这篇文章吗？您可能还喜欢使用 PowerShell 导出通讯组和成员。不要忘记关注我们并分享这篇文章。